重保支撐服務(wù)
l服務(wù)簡(jiǎn)介
通過資產(chǎn)排查��,幫助用戶了解目前關(guān)鍵網(wǎng)絡(luò)資產(chǎn)的安全狀況、面臨的威脅�、資產(chǎn)的價(jià)值和敏感性�����、威脅可能導(dǎo)致的資產(chǎn)損失����、網(wǎng)絡(luò)架構(gòu)的合理性和安全性、安全制度的完整性和必要性�,并根據(jù)自查情況進(jìn)行安全加固整改。使用戶重保期間面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)保持在可控、可接受的程度�����,完成重保保障工作�。
l服務(wù)內(nèi)容
?安全事件實(shí)時(shí)監(jiān)測(cè)
當(dāng)重保行動(dòng)正式開啟后,組織開展安全事件實(shí)時(shí)監(jiān)測(cè)工作�。檢測(cè)小組成員借助安全防護(hù)設(shè)備(全流量分析設(shè)備、Web防火墻���、IDS�����、IPS、數(shù)據(jù)庫(kù)審計(jì)等)開展攻擊安全事件實(shí)時(shí)監(jiān)測(cè)�,對(duì)發(fā)現(xiàn)的攻擊行為進(jìn)行確認(rèn),詳細(xì)記錄攻擊相關(guān)數(shù)據(jù)����,為后續(xù)處置工作、溯源工作的開展提供信息���。
?監(jiān)測(cè)值守
根據(jù)重保行動(dòng)時(shí)間要求�,可按需實(shí)行7×24小時(shí)現(xiàn)場(chǎng)值守,通過采用三班倒方式�,確保團(tuán)隊(duì)所有工作人員保證休息,確保各網(wǎng)絡(luò)安全設(shè)備�、系統(tǒng)持續(xù)監(jiān)控,駐守人員等能夠精力充沛實(shí)時(shí)開展現(xiàn)場(chǎng)處置工作����,確保用戶的其他第三方保障人員也在現(xiàn)場(chǎng),在發(fā)生安全事件時(shí)�,要保證隨叫隨到,具備快速響應(yīng)處理能力����,保障各項(xiàng)工作正常運(yùn)作。
?應(yīng)急響應(yīng)處置
根據(jù)監(jiān)測(cè)到安全事件�,協(xié)同進(jìn)行分析和確認(rèn)。針對(duì)攻擊來源��,應(yīng)采取“非白即黑”�����、“先阻斷���,再處置上報(bào)”的策略�;根據(jù)分析結(jié)果,應(yīng)采取相應(yīng)的處置措施�,來確保目標(biāo)系統(tǒng)安全。通過遏制攻擊行為��,使其不再危害目標(biāo)系統(tǒng)和網(wǎng)絡(luò)���,依據(jù)攻擊行為的具體特點(diǎn)實(shí)時(shí)制定攻擊阻斷的安全措施���,詳細(xì)記錄攻擊阻斷操作。業(yè)務(wù)主管單位對(duì)業(yè)務(wù)穩(wěn)定性進(jìn)行監(jiān)測(cè)�����,工作接口人及時(shí)通報(bào)相關(guān)信息��。
?攻擊分析與溯源
采用主動(dòng)和被動(dòng)兩種追蹤溯源技術(shù)��,包括針對(duì)潛在惡意行為警報(bào)進(jìn)行取證調(diào)查和攻擊假設(shè)測(cè)試���、依靠網(wǎng)絡(luò)威脅情報(bào)產(chǎn)生攻擊假設(shè),主動(dòng)搜索潛在的惡意行為���。在這兩種情況下使用安全信息及事件管理中存儲(chǔ)的數(shù)據(jù)進(jìn)行調(diào)查���,幫助安全分析師�����、安全專家更好地發(fā)現(xiàn)正在進(jìn)行的APT攻擊���。
?復(fù)盤總結(jié)
重保后回顧保障工作,總結(jié)經(jīng)驗(yàn)��,并提出針對(duì)性的建議�����。
